Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Identité numérique sous "emprise" : le code pénal en force !

Tribune Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour décrypter les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd'hui, Ilène Choukri aborde la question de l'identité numérique et de son usurpation, notamment au travers de l'"Affaire Rachida Dati".
Twitter Facebook Linkedin Flipboard Email
×

Identité numérique sous emprise : le code pénal en force !
Identité numérique sous "emprise" : le code pénal en force ! © KatB Photography - Flickr - C.C.

Quand notre identité numérique est sous "emprise", nous sommes forcément quelque peu dépossédé de nous-même. S’il est vrai que certains donnent mandat à un tiers professionnel (exemple : un webmaster d’un site dédié à la communication d’une personne) pour gérer leur image virtuelle, l’usage indu et non autorisé des attributs de notre identité sur le Net - qui plus est à mauvais escient - relève de l’offense et de l’atteinte inacceptables.

C’est l’expérience amère et parfois hautement préjudiciable qu’ont pu faire un nombre inexorablement croissant de personnes à travers le monde au gré de toutes les formes d’usurpation d’identité : usage détourné du nom, de l’état civil, des titres, des données personnelles, de l’image, etc. Plus près de nous, l’affaire Rachida Dati avait mis un coup de projecteur intéressant sur la problématique en 2014 en portant sur les fonts baptismaux des prétoires, l’article 226-4-1 du Code Pénal réprimant expressément l’infraction d’usurpation d’identité numérique.

 

Rappel du baptême du feu de l’article 226-4-1 du code pénal

L’espèce concernait un informaticien ayant créé une réplique du site officiel de la Député-Maire du VII arrondissement de Paris (reprise de la photographie, mise en page et des éléments graphiques propres au site officiel) et ayant profité d’une faille de sécurité de type XSS pour permettre la navigation des internautes du site officiel vers son avatar sans s’en rendre compte, comme s’il s’agissait du même et unique site. Or, ledit faux site permettait précisément à tout internaute plus ou moins bien intentionné à l’endroit de la victime de "rédiger un texte court  et de l’afficher sous la forme d’un communiqué de presse présentant l’aspect du site officiel", le tout étant enrichi par la possibilité de publier "via les réseaux sociaux Twitter et Facebook un lien affichant les faux communiqués de presse de la députée-maire présentant l’apparence d’être hébergés sur son site officiel". La promotion du site factice avait été assurée, notamment, par l’envoi d’un lien auprès des 4.000 contacts Twitter du prévenu.

Résultat : en apparence, le site officiel de Madame Rachida Dati charriait des messages apocryphes, à caractère obscène, injurieux, diffamatoire ou bien politiquement compromettant pour la victime.
 

L’affaire « Dati » confirme l’extension du domaine de la lutte contre l’usurpation d’identité

Si en première instance, le Tribunal de Grande Instance de Paris a retenu aussi bien l’usurpation d’identité numérique que l’introduction frauduleuse de données dans un STAD (système de traitement automatisé de données), la Cour d’Appel de Paris a réformé partiellement la décision en écartant ce dernier fondement. Il est vrai que la faille de sécurité offrait un argument de repli opportun puisque l’accès frauduleux est hypothéqué par la négligence du concepteur du site. Il n’en demeure pas moins que sur les critères constitutifs de l’infraction telle que définie par l’article 226-4-1 du code pénal, tout y est !

L’élément matériel prend sa consistance, notamment, dans la reprise de la photographie de la victime et de la charte graphique d’origine du site officiel, c’est-à-dire dans la reprise de données permettant d’identifier la personne. Il n’est donc pas forcément nécessaire que les éléments « primaires » de l’identité (le nom et le prénom) soient concernés, corroborant ainsi le caractère extensif de la notion d’identité numérique au sens du code pénal français.

L’élément moral, quant à lui, était cristallisé par de multiples indices dont la tolérance et la favorisation de la publication de faux communiqués de presse aux contenus explicitement attentatoires à l’honneur et à la dignité de la victime. Quand bien même le principal prévenu ne serait pas l’auteur, son intention de nuire ne faisait aucun doute.

L’usurpation d’identité exclusive de la liberté d’expression ?

Par un arrêt relativement lapidaire en date du 16 novembre 2016, la Cour de Cassation vient donc de clore cette affaire par la confirmation de la condamnation de l’informaticien "indélicat" sur le fondement de l’usurpation d’identité numérique. Au-delà de la concision du libellé de l’arrêt, il convient de relever que la Cour de Cassation retient que l’infraction est "exclusive de l’application de l’article 10 de la Convention européenne des droits de l’homme".

Peut-on en déduire que le fait d’usurper l’identité numérique d’une personne par quelque biais que ce soit – éléments d’identité ou données d’identification - vicie nécessairement tout acte ou démarche fondée sur la sacro-sainte liberté d’expression ?
Il faudra certainement plus de recul pour pouvoir être aussi tranché. Mais, en tout état de cause, en l’espèce, rien n’aura donc résisté à la qualification de l’article 226-4-1 du code pénal, pas même les ressorts pourtant éprouvés de la liberté d’expression. La défense n’avait pas lésiné sur l’argument de l’humour et de la parodie satirique pour convaincre les différentes instances. En vain !
 

Les juges mobilisés face à des risques de démembrement et de perversion de l’identité

Depuis les premiers "actes" de cette affaire "Dati", la jurisprudence s’est richement étoffée sur la base de la seule qualification de l’article 226-4-1 du code pénal. Ainsi, même en référé, les juges reçoivent désormais volontiers le caractère manifeste des infractions sur le fondement de l‘usurpation d’identité numérique. Ainsi en est-il de l’ordonnance de référé du Tribunal de Grande instance de Paris en date du 12 août 2016 reconnaissant le trouble manifestement illicite causé par l’usurpation de l’identité d’un individu à travers la création d’un site dont le nom de domaine reprenait ses noms et prénoms aux fins d’une vengeance familiale.

En somme, si notre identité "naturelle" relève de l’impénétrable alchimie entre l’inné et l’acquis, son ersatz numérique est plus aisé à démanteler. Il se crée par la technique, se nourrit à la carte de notre volonté et se sculpte à la lumière de ce que chacun consent à dévoiler sur lui-même. L’identité numérique doit donc rester indisponible à autrui lorsqu’il n’a pas été autorisé à en faire un quelconque usage. C’est le sens profond de l’article 226-4-1 du Code pénal et le message des juges. Il est vrai que, au-delà des préjudices évidents subis par les victimes, l’enjeu est également d’éviter la dilution de l’identité numérique, empêchant la traçabilité de l’identité tout court et favorisant un jeu malsain et dangereux de "qui est qui ?".

 

Ilène Choukri, Avocat associé, docteur en droit

 

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale